مركز ماهر هشدار داد؛
خطر شنود در گوشیهای اندرویدی، سوءاستفاده از ضعف حسگر شتاب سنج
ابرنت: مركز ماهر نسبت به در معرض خطر بودن گوشیهای اندرویدی به حملات شنود بوسیله ضعف حسگر حركتی شتاب سنج این گوشیها آگهی داد.
به گزارش ابرنت به نقل از مركز ماهر، پژوهشگران امنیتی در اوایل ماه جاری، بیشتر از ۱۳۰۰ برنامه اندروید كشف كردند كه اطلاعات حساس كاربران را حتی بعد از رد مجوز دسترسی، جمع آوری می كنند. مطالعات نشان می دهد كه توسعه دهندگان این اپلیكیشن ها با استفاده از كانال های پنهان و جانبی، به جمع آوری اطلاعات مكان، شناسه های تلفن و آدرس های كاربران خود می پردازند. یكی از این حملات كه توسط گروهی از پژوهشگران امنیتی سایبری كشف شده است، می تواند به برنامه های مخرب اجازه دهد تا صداهای خارج شده از بلندگوهای گوشیهای هوشمند را بدون نیاز به مجوز دستگاه، شنود كنند. این حمله كه «Spearphone» نامیده می شود، از یك حسگر حركتی مبتنی بر سخت افزار با نام شتاب سنج استفاده می نماید كه در بیشتر دستگاه های اندروید وجود دارد. این سخت افزار می تواند بدون هیچ گونه محدودیتی توسط هر نرم افزاری كه روی یك دستگاه نصب شده است (حتی با مجوز صفر) دسترسی پیدا كند. شتاب سنج، یك حسگر حركتی است كه با اندازه گیری سرعت زمان تغییر، با عنایت به مقدار یا جهت، به برنامه های كاربردی، اجازه نظارت بر حركت دستگاه همچون شیب، لرزش و چرخش می دهد.
این حمله زمانی رخ می دهد كه قربانی، تماس تلفنی یا تماس ویدیویی را در حالت بلندگو قرار می دهد یا در حال گوش دادن به یك فایل رسانه ای است. از آنجایی كه بلندگوی داخلی یك گوشی هوشمند در سطحی یكسان با حسگرهای حركتی قرار دارد، هنگامی كه حالت بلندگو فعال می شود، صداهای بلندی را در بدنه گوشی تولید می كند و به این گونه حملات اجازه می دهد تا بسادگی، بعضی از خاصیت های گفتاری كاربر ازجمله جنسیت (با دقت بیشتر از ۹۰درصد)، هویت (با دقت بیشتر از ۸۰درصد) و حتی كلمات را شناسایی كنند. خوشبختانه این حمله نمی تواند برای ضبط صدای كاربران یا محیط اطراف آن مورد استفاده قرار گیرد؛ برای اینكه به قدری قوی نیست كه بتواند بر سنسورهای حركتی گوشی تأثیر بگذارد. برای مقابله با چنین حملاتی، پلت فرم اندروید می تواند سیاست های كنترل دسترسی سختگیرانه ای را اجرا نماید كه استفاده از این سنسورها را محدود می كند. وجود یك سیاست كنترل دسترسی كنترل شده برای سنسورها و اجرای مدل مجوز استفاده صریح توسط برنامه ها، اغلب نمی تواند جلوی این حملات را بگیرد؛ برای اینكه خیلی از كاربران به مجوزهای خواسته شده توجه جدی نمی كنند. ساخت داخلی گوشی هوشمند باید به شكلی باشد كه حسگرهای حركتی، از ارتعاشاتی كه به وسیله بلندگوهای گوشی ایجاد می شوند، عایق بندی شوند. یك راه برای اجرای این رویكرد این است كه اطراف بلندگوهای ساخته شده را از مواد ارتعاشی ناشی از لرزش هایی كه از بلندگوهای گوشی ایجاد می شوند، تخلیه یا خنثی كنند. به كاربران سفارش می شود كه برای محافظت از خود در مقابل این حمله، به برنامه هایی كه دانلود می كنند و وب سایت هایی كه هنگام بازدید از آنها نیاز به استفاده از خاصیت های بلندگو دارند، بسیار دقت كنند.
منبع: ابرنت
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب